BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VINH LƯỜNG HỒNG PHONG NGHIÊN CỨU KỸ THUẬT TẤN CÔNG MẠNG DOS/DDOS VÀ MỘT SỐ GIẢI PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG ÁP DỤNG TẠI TRƯỜNG ĐẠI HỌC VINH LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGHỆ AN, 5/2017 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VINH LƯỜNG HỒNG PHONG NGHIÊN CỨU KỸ THUẬT TẤN CÔNG MẠNG DOS/DDOS VÀ MỘT SỐ GIẢI PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG ÁP DỤNG TẠI TRƯỜNG ĐẠI HỌC VINH Chuyên ngành: CÔNG NGHỆ THÔNG TIN Mã số: 60.48.02.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Người hướng dẫn khoa học: TS Trần Xuân Sang NGHỆ AN, 5/2017 LỜI CẢM ƠN Với tình cảm chân thành lịng biết ơn sâu sắc, tác giả luận văn xin cám ơn quý Thầy, Cô giáo Trường Đại học Vinh đem đến cho tác giả kiến thức quý báu chuyên môn sống Đặc biệt tác giả xin bày tỏ biết ơn chân thành sâu sắc tới tiến sỹ Trần Xuân Sang – người trực tiếp hướng dẫn khoa học suốt trình thực luận văn, chu đáo tận tình hướng dẫn, giúp đỡ tác giả thực hoàn thành luận văn Xin cảm ơn bạn học viên lớp K23 Đại học Vinh đoàn kết, phối hợp hỗ trợ động viên nhiệt tình giúp đỡ tác giả q trình nghiên cứu, hồn thành luận văn Do hạn chế thời gian kinh nghiệm, có thiếu sót xảy q trình thực luận văn Kính mong dẫn góp ý từ phía q Thầy, Cơ để có thêm đánh giá nhận xét quý báu hoàn thiện Nghệ An, ngày 10 tháng năm 2017 Tác giả LƯỜNG HỒNG PHONG LỜI CAM ĐOAN Tơi xin cam đoan cơng trình tìm hiểu nghiên cứu tơi, có hỗ trợ Thầy hướng dẫn người cảm ơn Các nghiên cứu kết đề tài trung thực chưa công bố Nghệ An, ngày 10 tháng năm 2017 Học viên LƯỜNG HỒNG PHONG C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC HÌNH MỞ ĐẦU Sự cần thiết vấn đề nghiên cứu .3 Mục tiêu nghiên cứu Đối tượng phạm vi nghiên cứu .5 Kết cấu luận văn CHƯƠNG TỔNG QUAN VỀ AN TOÀN MẠNG .6 1.1 An toàn mạng 1.2 Tấn công cục (local attack) 1.3 SQL Injection 1.4 Cross Site Scripting (XSS) .8 1.5 Tấn công dạng DoS/DDoS 1.6 Kết luận chương .10 CHƯƠNG KỸ THUẬT TẤN CÔNG DoS/DDoS 11 2.1 Tổng quan công từ chối dịch vụ phân tán 11 2.1.1 Giới thiệu DDoS 11 2.1.2 Các giai đoạn công DdoS .12 2.1.3 Kiến trúc tổng quan mạng công DDoS 12 2.1.4 Phân loại công DDoS .16 2.1.5 Một số đặc tính cơng cụ cơng DDoS .22 2.1.6 Một số công cụ công DDoS 26 2.2 Tác động nghiêm trọng mức độ ảnh hưởng công DDoS nước giới 30 2.2.1 Đối với nước .30 2.2.2 Trên giới 32 2.3 Kết luận chương 39 CHƯƠNG MỘT SỐ GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TẤN CÔNG DẠNG DoS/DDoS ÁP DỤNG TẠI TRƯỜNG ĐẠI HỌC VINH 40 3.1 Hiện trạng website hệ thống máy chủ Trường Đại học Vinh 40 3.3.1 Dò ngược dấu vết IP 40 3.3.2 Lọc luồng vào .44 3.4 Một số kết thử nghiệm 46 3.4.1 Chống công dạng DDoS với Webserver 46 3.4.2 Chống công dạng UDP flood 49 3.5 Kết luận chương .53 KẾT LUẬN 54 TÀI LIỆU THAM KHẢO 55 Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an DANH MỤC CÁC TỪ VIẾT TẮT Ký hiệu Giải thích DoS Tấn cơng từ chối dịch vụ (Denial of Service) Tấn công từ chối dịch vụ phân tán (Distributed Denial DDoS of Service) Hacker/Attacker Kẻ công Server Máy chủ Host Máy trạm User Người dùng Internet Tập hợp mạng liên kết với Router Bộ/thiết bị định tuyến Switch Bộ/thiết bị chuyển mạch Traffic Lưu lượng Buffer Bộ đệm Website Trang web Threshold Ngưỡng CSDL Cơ sở liệu NIDS Hệ thống phát xâm nhập dựa mạng IIS Các dịch vụ thông tin Internet TCP Transmission Control Protocol - "Giao thức điều khiển truyền vận") Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an DANH MỤC CÁC HÌNH STT TÊN HÌNH Hình 2.1: Mơ hình Agent – Handler Hình 2.2: Kiến trúc mạng cơng kiểu Agent – Handler Hình 2.3: Kiến trúc mạng cơng kiểu dựa vào mạng IRCMơ hình mạng Hình 2.4: Phân loại cơng kiểu DDoS Hình 2.5: Tấn cơng khuếch đại Hình 2.6: Mơ tả bắt tay ba bước Hình 2.7: Tấn cơng TCP SYN Hình 2.8: Cơng cụ cơng DDoS Hình 2.9: Giao diện hoạt động DoSHTTP 10 Hình 2.10: Thơng tin cơng kiểm tra Webserver Hình 2.11: Giao diện tham số dùng để cơng UDP 11 Unicorn 12 Hình 2.12 Các cổng công hỗ trợ UDP Unicorn 13 Hình 3.1 Kỹ thuật kiểm tra liên kết 14 Hình 3.2 Dị ngược dựa ICMP 15 Hình 3.3 Đánh dấu gói tin 16 Hình 3.4 Lọc luồng vào 17 Hình 3.5 Tấn cơng DoSHTTP máy trạm 18 Hình 3.6 Lưu lượng gói Ethernet máy chủ sau 60s 19 Hình 3.7 Các gói ethernet máy chủ chụp WireShark 20 Hình 3.8 Phản hồi yêu cầu từ máy chủ 21 Hình 3.9 Tình trạng máy chủ sau chưa đầy phút bị cơng 22 Hình 3.10 Danh sách điều khiển truy nhập 23 Hình 3.11 Trao đổi gói tin sau thiết lập điều khiển truy nhập 24 Hình 3.12 Cấu hình cơng tới máy chủ 25 Hình 3.13 Bộ nhớ máy chủ sau 60s bị công 26 Hình 3.14 Lọc gói tin UDP cổng Ehternet máy chủ 27 Hình 3.16 Kết loại bỏ DDOS máy chủ Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an MỞ ĐẦU Sự cần thiết vấn đề nghiên cứu Một vấn đề lớn an tồn Internet phịng chống kiểu công dạng từ chối dịch vụ (DoS – denial of service) [1] DoS tạo tình mà phía client khơng tạo u cầu cách hợp lệ ngun nhân [2] Có nhiều cách để thực công kỹ thuật DoS, ví dụ Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS Tuy nhiên, theo Houle and Weaver nguyên lý công dạng DoS chiếm giữ băng thông đường truyền làm cho tải xử lý bên nhận yêu cầu (requests) Như biết vấn đề băng thông hạn chế cố hữu mạng Internet để có giải pháp triệt vấn đề chưa giải Tấn công dạng từ chối dịch vụ phân tán (DDoS - Distributed denial-ofservice) kỹ thuật công nhiều nguồn hướng tới đích [3] Kỹ thuật cơng có liên quan đến dạng virus hay sâu (worms) máy tính Mặc dù khơng nằm mục đích cuối DDoS thường làm cạn kiệt tài nguyên mạng Do công dạng DDoS dạng công chiếm giữ băng thông nhiều Mặc dù tồn trong thời gian dài kỹ thuật công dạng DoS/DDoS cộng đồng nhà nghiên cứu ý đến sau kiện trang Yahoo!, Amazon.com, CNN eBay bị ngừng cơng dạng DoS/DDoS vào năm 2000 Sau đó, cịn nhiều gã khổng lồ khác gục ngã công kiểu DDoS, có Microsoft Các cơng điển hình DDoS, phản ánh đặc điểm chết người DDoS: “Rất dễ thực hiện, tránh, hậu nặng nề” Tại Việt nam, kỹ thuật công dạng DoS/DDoS đánh dấu công vào trang web công ty cổ phần truyền thông Việt Nam VCCorp vào tháng 6/2011 Hệ loạt trang webs thương mại điện tử vận hành VCCorp Én bạc, Rồng bay, bị tê liệt hai ngày Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 6,7/2011 Tuy quan tâm khắc phục phòng chống sau năm (7/2012) loạt trang webs VCCorp lại bị công, bao gồm aFamily, autoPro, missPhotoVietnam… Nhưng tiêu biểu kể đến Kênh 14 kênh có traffic lớn VCCorp bị công Tiếp tục năm sau (2013), trang web báo điện tử Việt Nam bị công dạng DDoS báo Dân trí, Việt nam net, … Với hỗ trợ chuyên gia đến từ BKAV CMC Infosec ngăn chặn vơ hiệu hóa lần công Thế nhưng, đến khoảng tháng 10/2014, người dùng internet tiếp tục truy cập website Dân Trí, Soha News, Kênh 14, VNEconomy, CafeF, Muachung, Người lao động, Giadinh.net.vn… Các thông báo lỗi đưa “Khơng tìm thấy” hay “Data center gặp cố, vui lòng quay lại sau”, trang tải chậm, truy cập nội dung đầy đủ Hiện hệ thống web trường Đại học Vinh cài hệ thống máy chủ khơng có nhiều phần mềm để hổ trợ bảo mật…vì có nguy an tồn nguy cơng dos/ddos gây hậu nghiêm trọng Từ phân tích dễ dàng nhận cần thiết phải nghiên cứu cách nghiêm túc đầy đủ kỹ thuật công dạng DOS/DDOS đưa giải pháp phòng chống cách hiệu Là học viên theo học chuyên ngành công nghệ thông tin cơng việc có liên quan đến an ninh, an toàn hệ thống mạng trường Đại học Vinh, mạnh dạn lựa chọn đề tài “ Nghiên cứu kỹ thuật công mạng Dos/Ddos số giải pháp phát phòng chống áp dụng trường Đại học Vinh” với mong muốn thử sức định hướng có ích cho cơng việc sau Mục tiêu nghiên cứu Với mục đích tăng thêm hiểu biết lĩnh vực giúp ích cho công việc sau này, khuôn khổ phạm vi luận văn nghiên cứu cách sâu sắc nguyên lý công dạng DoS/DDoS giải pháp phịng chống Đặc biệt kỹ thuật cơng dạng DDoS Internet Từ Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an hiểu biết tìm hiểu áp dụng vào công việc an ninh cho hệ thống mạng Nhà trường Đối tượng phạm vi nghiên cứu 3.1 Đối tượng nghiên cứu Trong phạm vi nghiên cứu luận văn yếu tố liên quan đến vấn đề an ninh mạng xem xét, nhiên nội dung trọng tâm nguyên lý kỹ thuật công DoS/ DdoS hệ thống website trường Đại học Vinh Từ phân loại dạng công đưa cách phòng chống 3.2 Phạm vi nghiên cứu Các nội dung nghiên cứu bao gồm: - Kỹ thuật công DoS - Kỹ thuật công DDoS - Phân tích chi tiết kỹ thuật cơng DDoS nguyên lý phản hồi DDoS - Nghiên cứu, phân tích định hướng phát triển dạng công DDoS - Đưa giải pháp phịng chống cơng dạng DoS/DdoS cho hệ thống website trường Đại học Vinh Kết cấu luận văn Luận văn gồm có chương: Chương 1: Tổng quan an toàn mạng Chương 2: Kỹ thuật công DoS/DDoS Chương 3: Một số giải pháp phát ngăn chặn công dạng DoS/DDoS áp dụng trường đại học Vinh Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an CHƯƠNG TỔNG QUAN VỀ AN TỒN MẠNG 1.1 An tồn mạng Thế giới thực ngày hữu mạng Các sở hạ tầng quan trọng bao gồm vận tải, an ninh giao thông, nhà máy điện hạt nhân, điện, mạng lưới truyền thông kết nối quản trị mạng Sự tiến phát triển công nghệ mang lại thành tích cực, nhiên ln có đối tượng sử dụng cơng nghệ cho mục đích khơng tốt họ Theo Europol năm gần internet tạo điều kiện thuận lợi cho truyền thông thúc đẩy phát triển tương tác toàn cầu Đồng thời, thách thức mới, đại xuất hình thức tội phạm mạng nhóm tội phạm khai thác lợi công nghệ Các mối đe dọa an ninh lớn Liên minh Châu Âu nội khủng bố, buôn bán ma túy quốc tế rửa tiền, gian lận có tổ chức, làm giả đồng euro bn lậu người, mối đe dọa tội phạm mạng với nạn buôn người mối nguy hiểm đại khác tăng lên Europol thừa nhận vào năm 2011 giá trị toàn hệ thống tội phạm mạng đến, ước tính tổn thất doanh nghiệp tồn cầu vào khoảng 750 tỷ Euro năm (Europol Public Information 2011) Trong năm 2008, Suleyman Anil, người đứng đầu Trung tâm Điều phối Khả phản ứng Sự cố máy tính NATO, cảnh báo chủ nghĩa khủng bố máy tính đặt mối đe dọa cho an ninh quốc gia công tên lửa Cuộc công không gian mạng xác định sở hạ tầng trực tuyến nước "thực tế dừng lại" (Heath 2008) Ở phần xem xét số dạng công mạng thực giới tội phạm mạng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 1.2 Tấn công cục (local attack) Local attack kiểu hack phổ biến không khuyên dùng Đối web server thông thường đăng ký tài khoản server cấp tài khoản server thư mục để quản lý site Dựa quyền cấp cục hacker cơng sang hệ thống quản trị tài nguyên mạng Để hạn chế Local Attack, nên Chmod filemanager, di chuyển file config.php sửa đổi file htaccess thường xuyên backup liệu 1.3 SQL Injection SQL injection kĩ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu nhập ứng dụng web thông báo lỗi hệ quản trị sở liệu để "tiêm vào" (inject) thi hành câu lệnh SQL bất hợp pháp (không người phát triển ứng dụng lường trước) Hậu tai hại cho phép kẻ cơng thực thao tác xóa, hiệu chỉnh, Lỗi thường xảy ứng dụng web có liệu quản lí hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase Để phịng tránh nguy xảy ra, bảo vệ câu lệnh SQL cách kiểm soát chặt chẽ tất liệu nhập nhận từ đối tượng Request (Request, Request.QueryString, Request.Form, Requestn Cookies, and Request.ServerVariables) Cần có chế kiểm sốt chặt chẽ giới hạn quyền xử lí liệu đến tài khoản người dùng mà ứng dụng web sử dụng Các ứng dụng thông thường nên tránh dùng đến quyền dbo hay sa Quyền bị hạn chế, thiệt hại Ngồi để tránh nguy từ SQL Injection attack, nên ý loại bỏ thơng tin kĩ thuật chứa thơng điệp chuyển xuống cho người dùng ứng dụng có lỗi Các Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an thông báo lỗi thông thường tiết lộ chi tiết kĩ thuật cho phép kẻ cơng biết điểm yếu hệ thống 1.4 Cross Site Scripting (XSS) Cross-Site Scripting (XSS) kĩ thuật cơng phổ biến hiên nay, đồng thời vấn đề bảo mật quan trọng nhà phát triển web người sử dụng web Bất kì website cho phép người sử dụng đăng thơng tin mà khơng có kiểm tra chặt chẽ đoạn mã nguy hiểm tiềm ẩn lỗi XSS Cross-Site Scripting hay cịn gọi tắt XSS (thay gọi tắt CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet HTML) kĩ thuật công cách chèn vào website động (ASP, PHP, CGI, JSP ) thẻ HTML hay đoạn mã Script nguy hiểm gây nguy hại cho người sử dụng khác Trong đó, đoạn mã nguy hiểm đựơc chèn vào hầu hết viết Client-Site Script JavaScript, JScript, DHTML thẻ HTML Các đoạn mã thẻ script khơng bị giới hạn chúng hồn tồn thay file nguồn server khác thơng qua thuộc tính src thẻ script Cũng lẽ mà chưa thể lường hết độ nguy hiểm lỗi XSS Thật vậy, XSS Client-Side Script, đoạn mã chạy trình duyệt phía client XSS không làm ảnh hưởng đến hệ thống website nằm server Mục tiêu công XSS không khác người sử dụng khác website, họ vơ tình vào trang có chứa đoạn mã nguy hiểm hacker để lại họ bị chuyển tới website khác, đặt lại homepage, hay nặng mật khẩu, cookie chí máy tính bạn bị cài loại virus, backdoor, worm Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 1.5 Tấn công dạng DoS/DDoS Tấn công dạng DoS/DDoS trở nên thường xuyên năm vừa qua Một lượng lớn máy tính bị mạng bị lây nhiễm (dạng bots zombies) ảnh hưởng đến băng thông lực xử lý để load dịch vụ hệ thống từ chối người dùng hợp lệ Sự công ảnh hưởng đến site thương mại điện tử năm 2000 làm tê liệt DNS server năm 2003 [4] 2007 Thời gian sau đó, hầu hết công dạng DoS/DDoS nhằm vào trang web vừa nhỏ với mục đích tống tiền chủ nhân sites cộng đồng mạng ý Tuy nhiên, nhà cung cấp dịch vụ mạng ln phải quan tâm đến vấn đề DDoS dẫn đến cạn kiệt băng thơng tắc nghẽn mạng Một số công cụ dùng để công TFN [5], Stacheldraht [6], Trinoo [5], hay Mstream [7] sử dụng khơng mã hóa theo cấu trúc tổ chức hệ thống truyền thông Hầu hết cơng cụ dùng TCP-SYN, UDP hay ICMP floods với khả thay đổi định danh Sau số công cụ bị hạn chế ngăn chặn hệ bots xuất SDBot [8], Agobot [9] hay Phatbot [10] Các công cụ sử dụng giải thuật tự lây lan giả mạo, chúng nâng cấp thơng qua Internet Làm hạn chế công DoS/DDoS phần lõi mạng Internet nhiệm vụ bất khả thi độ phân tán khơng xác thực mạng dựa IP Đã có nhiều giải pháp tìm địa nguồn trạm cơng kỹ thuật lọc đề xuất Một số khuyến nghị IETF RFC 2827 [11] giúp giảm công dạng DDoS với kỹ thuật giả mạo địa IP (IP Spoofing) Từ đấu tranh trực diện với lừa đảo mạng cách tạo dấu vết luồng Internet tới nguồn Savage [12] đề nghị giải pháp IP Traceback để tìm tới nguồn địa IP giả mạo cách đánh dấu xác suất gói Song [13] đề xuất cải tiến lược đồ đánh dấu xác Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an suất gói tin để giảm bớt tỷ lệ sai xây dựng lại đường công Một cải tiến lược đồ đánh dấu xác suất gói tin khác nhằm giảm bớt số lượng liệu đầu vào tính tốn đề xuất Bellovin [14] Gần đây, kỹ thuật công DDoS thường sử dụng hosts dạng zombies số giải pháp nhằm hạn chế dạng cơng đề xuất [15] Tóm lại qua hệ phát triển dạng cơng DoS/DDoS có giải pháp đề xuất nhằm hạn chế công từ hosts nguồn Trong luận văn nghiên cứu giải pháp đề nghị giải pháp phù hợp dựa IP Table Entropy 1.6 Kết luận chương Nội dung chương đề cập đến số nguy dạng cơng mạng máy tính, hạ tầng thiếu sống Các công mạng gây nên mức độ nghiêm trọng không phần cơng tên lửa, chí hậu cịn cịn có phần nghiêm trọng Hàng ngày công diễn cách âm thầm dẫn đến tàn phá, bất ổn nhiều quốc gia, vùng lãnh thổ điều tạo động lực cho cần phải có kiến thức để chống lại điều tồi tệ bảo vệ thân cộng đồng Trong phạm vi luận văn nghiên cứu sâu kỹ thuật công dạng DoS/DDoS tiết kỹ thuật cơng trình bày nội dung chương Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 10 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an CHƯƠNG KỸ THUẬT TẤN CÔNG DoS/DdoS 2.1 Tổng quan công từ chối dịch vụ phân tán 2.1.1 Giới thiệu DDoS Ngày 7/2/2000, yahoo.com phải ngừng phục vụ hàng trăm triệu users toàn giới nhiều liền Vài sau, Yahoo tìm nguyên nhân gây nên tình trạng họ phải gánh chịu đợt công DDoS với quy mơ vài nghìn máy tính liên tục gửi hàng triệu yêu cầu đến máy chủ dịch vụ làm máy chủ phục vụ user thông thường khác Tiếp tục sau ngày, kiện tương tự diễn có phần “ồn ào” nạn nhân hãng tin CNN, Fifa.com, amazon.com, dell.com, Zdnet.com, E-trade.com, Ebay.com Đây công ty lớn thuộc nhiều lĩnh vực khác Theo Yankke Group, tổng thiệt hại công lên đến 1.2 triệu USD, không đáng kể mát lòng tin khách hàng, uy tín cơng ty khơng thể tính Theo kết điều tra cơng bố cậu bé 15 tuổi người Canada, với nickname “mafiaboy” tìm tịi tải số chương trình công cụ hacker Cậu bé dùng cơng cụ DDoS có tên TrinOO để gây nên công kiểu DDoS khủng khiếp Một điểm đáng lưu ý khác Mafiaboy bị bắt tự khoe khoang phịng chát cơng cộng, khơng tự truy tìm dấu vết cậu bé này([6]) Từ đến nay, giới Việt Nam, có nhiều cơng ty khổng lồ khác gục ngã công kiểu DDoS, có Microsoft Tuy nhiên cơng điển hình DDoS, nói lên đặc điểm DDoS: “Rất dễ thực hiện, tránh, hậu nặng nề” Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 11 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 2.1.2 Các giai đoạn công DdoS [18] Một công DDoS thông thường gồm bao gồm 03 giai đoạn Giai đoạn 1: Giai đoạn chuẩn bị - Chuẩn bị công cụ giai đoạn quan trọng công, công cụ sử dụng cho công thơng thường hoạt động theo mơ hình client-server Hacker viết phần mềm hay tải từ Internet cách dễ dàng, có nhiều cơng cụ DDoS cung cấp miễn phí mạng - Kế tiếp, hacker dùng kỹ thuật công khác để nắm trọn quyền số host mạng, tiến hành cài đặt phần mềm cần thiết host Việc cấu hình thử nghiệm tồn mạng cơng (attack network - bao gồm mạng lưới máy bị lợi dụng với phần mềm thiết lập đó, máy hacker số máy khác thiết lập tạo thành điểm phát động công) thực giai đoạn Giai đoạn 2: Giai đoạn xác định mục tiêu thời điểm - Sau xác định mục tiêu lần cuối, hacker có hoạt động điều chỉnh mạng cơng chuyển hướng cơng phía mục tiêu - Yếu tố thời điểm định mức độ thiệt hại tốc độ đáp ứng mục tiêu công Giai đoạn 3: Phát động cơng xóa dấu vết Đúng thời điểm định, hacker phát động công từ máy Lệnh cơng qua nhiều cấp đến host thực cơng Tồn mạng cơng (có thể lên đến hàng nghìn máy), vắt cạn lực máy chủ mục tiêu, ngăn chặn không cho máy chủ hoạt động thiết kế - Sau khoảng thời gian cơng thích hợp, Hacker tiến hành xóa dấu vết truy ngược đến Việc địi hỏi kỹ thuật xóa dấu vết trình độ cao 2.1.3 Kiến trúc tổng quan mạng công DDoS Nhìn chung mạng cơng DDoS có hai mơ hình chính: Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 12 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an + Mơ hình Agent – Handler + Mơ hình IRC – Based (mơ hình dựa vào mạng trao đổi thơng tin) Dưới sơ đồ phân loại kiểu cơng DDoS (Hình 2.1.)  Mơ hình Agent - Handler Mạng công DDoS IRC - Based Agent -Handler Trao đổi Client – Handler TCP UDP Trao đổi Client – Handler ICMP TCP UDP Kênh riêng / Kênh bí mật Kênh cơng cộng ICMP Hình 2.1 Mơ hình Agent – Handler Theo mơ hình này, mạng cơng gồm thành phần: Agent, Client Handler:  Client: thành phần phần mềm sở để hacker điều khiển hoạt động mạng công  Handler: thành phần phần mềm trung gian Agent Client, làm nhiệm vụ giúp Client điều khiển Agent  Agent: thành phần phần mềm thực công vào mục tiêu, nhận điều khiển từ Client thông qua Handler Kiến trúc mạng công kiểu Agent – Handler mơ tả Hình 2.2 Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 13 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hacker Handler Agent Hacker Handler Handler Agent Agent Handler Agent Agent Victim Hình 2.2 Kiến trúc mạng công kiểu Agent – Handler Hacker từ Client giao tiếp với Handler để xác định số lượng Agent hoạt động, điều chỉnh thời điểm công cập nhật Agent Tùy theo cách Hacker thiết lập cấu hình mạng cơng, Agent chịu quản lý hay nhiều Handler Thông thường Hacker đặt phần mềm Handler định tuyến hay máy chủ có lưu lượng mạng lưu thông nhiều Việc nhằm làm cho giao tiếp Client, Handler Agent khó bị phát Các giao tiếp thông thường xảy giao thức TCP, UDP hay ICMP Chủ nhân thực máy tính bị cài Agent thơng thường không hay biết họ bị lợi dụng vào công kiểu DDoS, người dùng không đủ khả phát Mặt khác, Agent cài dạng cửa hậu (Backdoor) thường sử dụng tài nguyên hệ thống làm cho người dùng thấy ảnh hưởng chúng đến hiệu hệ thống  Mơ hình dựa vào mạng IRC (IRC – Based) Internet Relay Chat (IRC) hệ thống liên lạc trực tuyến qua mạng Internet, IRC cho phép người dùng tạo kết nối đến đa điểm đến nhiều người dùng khác trao đổi thảo luận (chat) theo thời gian thực Kiến trúc mạng IRC bao gồm nhiều máy chủ IRC khắp mạng giao tiếp với Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 14 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an qua nhiều kênh Mạng IRC cho phép người dùng tạo ba loại kênh: kênh chung; kênh riêng; kênh bí mật - Kênh chung (Public Channel): Cho phép người dùng kênh thấy tên IRC nhận thơng điệp người dùng khác kênh - Kênh riêng (Private Channel): Được thiết kế để giao tiếp với đối tượng cho phép Không cho phép người dùng không kênh thấy tên IRC thông điệp kênh Tuy nhiên, người dùng kênh dùng số lệnh channel locator biết tồn kênh riêng - Kênh bí mật (Secret Channel): Tương tự kênh riêng xác định định vị kênh (channel locator) Kiến trúc mạng công kiểu dựa vào IRC mơ tả hình 2.3 sau Hacker Hacker IRC NETWORK Agent Agent Agent Agent Agent Victim Hình 2.3 Kiến trúc mạng cơng kiểu dựa vào mạng IRCMơ hình mạng công dựa vào IRC tương tự mơ hình Agent – Handler mơ hình sử dụng kênh giao tiếp IRC làm phương tiện giao tiếp Client Agent (không sử dụng Handler) Sử dụng mơ hình này, Hacker cịn có thêm số lợi khác như: + Các giao tiếp dạng tin trao đổi (chat message) làm cho việc phát chúng vơ khó khăn Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 15 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an + Lưu lượng IRC di chuyển mạng với số lượng lớn mà khơng bị nghi ngờ + Khơng cần phải trì danh sách Agent, hacker cần đăng nhập (logon) vào máy chủ IRC nhận báo cáo trạng thái Agent kênh gửi + Sau cùng: IRC môi trường chia sẻ tệp tin tạo điều kiện phát tán mã Agent lên máy khác 2.1.4 Phân loại cơng DDoS Nhìn chung, có nhiều biến thể kỹ thuật cơng DDoS nhìn góc độ chun mơn chia biến thề thành hai loại dựa mục đích công: Làm cạn kiệt băng thông làm cạn kiệt tài nguyên hệ thống (19) Dưới sơ đồ mô tả phân loại kiểu công DDoS DDoS attack Bandwith Deleption Random Port Attack Protocol Exploit Attack Amplification Attack Flood Attack UDP Resource Deleption ICMP Static Port Attack Smuft Attack Spoof Source Attack Flaggle Attack Direct Attack Malformed Paclket Attack TCP SYN PUSH Attack +ACK SYN Attack IP @ Attack IP Packet Options Attack Loop Attack Spoof Source Attack Spoof Source Attack Hình 2.4 Phân loại công kiểu DDoS Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 16 Spoof Source Attack Spoof Source Attack C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an a) Những kiểu công làm cạn kiệt băng thông mạng (Bandwidth Depletion Attack) [18] Tấn công làm cạn kiệt băng thông mạng thiết kế nhằm làm tràn ngập mạng mục tiêu với lưu lượng khơng cần thiết, với mục đích làm giảm tối thiểu khả lưu thông lưu lượng hợp lệ đến hệ thống cung cấp dịch vụ mục tiêu Có hai loại cơng làm cạn kiệt băng thông mạng: + Tấn công ngập lụt (Flood Attack): Điều khiển Agent gửi lưu lượng lớn đến hệ thống dịch vụ mục tiêu, làm dịch vụ bị hết khả cung cấp băng thông.[6] + Tấn công khuếch đại (Amplification Attack): Điều khiển Agent hay Client tự gửi thông điệp đến địa IP quảng bá, làm cho tất máy mạng (subnet) đồng loạt gửi thông điệp đến hệ thống dịch vụ mục tiêu Phương pháp làm gia tăng lưu lượng không cần thiết, làm suy giảm băng thông mục tiêu.[17]  Tấn công ngập lụt: [18] Trong phương pháp này, Agent gửi lượng lớn lưu lượng mạng làm hệ thống dịch vụ mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa Hậu người dùng thực hệ thống không sử dụng dịch vụ mong đợi Ta chia cơng ngập lụt thành hai loại: + Tấn công ngập lụt UDP (UDP Flood Attack): Do tính chất truyền khơng theo hướng kết nối UDP, hệ thống nhận gói tin UDP đơn giản nhận vào tất gói tin cần phải xử lý Một lượng lớn gói tin UDP gửi đến hệ thống dịch vụ mục tiêu đẩy tồn hệ thống đến ngưỡng tới hạn Các gói tin UDP gửi đến cổng tùy ý hay cổng Thông thường gói tin gửi đến nhiều cổng làm cho hệ thống mục tiêu phải căng để xử lý phân hướng cho gói tin Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 17 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Nếu cổng bị công khơng sẵn sàng hệ thống mục tiêu gửi gói tin ICMP thơng báo "khơng tới cổng đích" (“destination port unreachable”) Thơng thường phần mềm Agent dùng địa IP giả để che giấu hành vi, gói tin trả khơng có cổng xử lý dẫn đến địa IP khác Tấn cơng ngập lụt UDP làm ảnh hưởng đến kết nối xung quanh mục tiêu hội tụ gói tin diễn mạnh + Tấn công ngập lụt ICMP (ICMP Flood Attack): thiết kế nhằm mục đích quản lý mạng định vị thiết bị mạng Khi Agent gửi lượng lớn ICMP_ECHO_REPLY đến hệ thống mục tiêu hệ thống phải reply lượng tương ứng gói tin để trả lời, dẫn đến nghẽn đường truyền Tương tự trường hợp trên, địa IP Agent bị giả mạo  Tấn công khuếch đại Tấn công khuếch đại nhắm đến việc sử dụng chức hỗ trợ địa IP quảng bá định tuyến (router) nhằm khuyếch đại hồi chuyển công Mô đun cho phép bên gửi định địa IP quảng bá cho tồn subnet bên nhận thay nhiều địa Bộ định tuyến có nhiệm vụ gửi đến tất địa IP mạng (subnet) quảng bá gói tin mà nhận Hacker gửi thơng điệp quảng bá trực tiếp hay thông qua số Agent nhằm làm gia tăng cường độ công Nếu Hacker trực tiếp gửi thơng điệp, lợi dụng hệ thống bên mạng để quảng bá Agent Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 18 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hình 2.5 Tấn cơng khuếch đại Có thể chia cơng khuếch đại thành hai loại, công Smurf công Fraggle: + Tấn công kiểu Smurf: Trong kiểu công Hacker gửi gói tin đến mạng khuếch đại (router hay thiết bị mạng khác hỗ trợ quảng bá), với địa nạn nhân Thơng thường gói tin dùng ICMP ECHO REQUEST, gói tin yêu cầu bên nhận phải trả lời gói tin ICMP ECHO REPLY Mạng khếch đại gửi đến gói tin ICMP ECHO REQUEST đến tất hệ thống thuộc địa quảng bá tất hệ thống gửi gói tin REPLY địa mục tiêu công (16) + Tấn công Fraggle: Tương tự cơng Smurf thay dùng gói tin ICMP ECHO REQUEST, Hacker dùng gói tin UDP ECHO gửi đến mục tiêu Thật biến thể khác cơng Fraggle gửi gói tin UDP ECHO đến cổng charge (port 19/UNIX) mục tiêu, với địa bên gửi cổng echo (port 7/UNIX) mục tiêu, tạo nên vịng lặp vơ hạn Hacker phát động công ECHO REQUEST với địa bên nhận địa broadcast, toàn hệ thống thuộc địa gửi REPLY đến cổng echo nạn nhân, sau từ nạn nhân ECHO REPLY lại gửi trở Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 19 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an địa quảng bá, q trình tiếp diễn Đây nguyên nhân làm cho công Flaggle nguy hiểm công Smurf nhiều b) Những kiểu công làm cạn kiệt tài nguyên: Tấn công làm cạn kiệt tài ngun kiểu cơng Hacker gửi gói tin dùng giao thức sai chức thiết kế, hay gửi gói tin với dụng ý làm tắc nghẽn tài nguyên mạng, làm cho tài nguyên không phục vụ người dùng thông thường khác  Tấn công khai thác giao thức (Protocol Exploit Attack)[18] + Tấn công TCP SYN: TCP hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay bên gửi bên nhận trước truyền liệu Bước đầu tiên, bên gửi gửi gói tin SYN REQUEST (Synchronize) Bên nhận nhận SYN REQUEST trả lời gói tin SYN/ACK REPLY Bước cuối cùng, bên gửi truyền gói tin cuối ACK bắt đầu truyền liệu SYN TCP Client TCP Server SYN/ACK Client Port 1024-65535 80 ACK Service Port 1-1023 Hình 2.6 Mơ tả bắt tay ba bước Nếu bên máy chủ trả lời yêu cầu SYN SYN/ACK REPLY không nhận gói tin ACK cuối sau khoảng thời gian quy định gửi trả lại SYN/ACK REPLY hết thời gian timeout Toàn tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nhận gói tin ACK cuối bị “phong tỏa” hết thời gian timeout Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 20 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Nắm điểm yếu này, Hacker gửi gói tin SYN đến nạn nhân với địa bên gửi giả mạo, kết nạn nhân gửi SYN/ACK REPLY đến địa khác khơng nhận gói tin ACK cuối Cho đến hết thời gian timeout, nạn nhân nhận điều giải phóng tài nguyên hệ thống Tuy nhiên, lượng gói tin SYN giả mạo đến với số lượng nhiều dồn dập, hệ thống nạn nhân bị hết tài nguyên Client Hacker/Agent SYN Server Server SYN SYN/ACK SYN/ACK SYN/ACK ACK Hình 2.7 Tấn cơng TCP SYN + PUSH = công ACK: Trong giao thức TCP, gói tin chứa đệm (buffer), đệm đầy gói tin chuyển đến nơi cần thiết Tuy nhiên, bên gửi yêu cầu hệ thống unload buffer trước đệm đầy cách gửi gói tin với PUSH ACK mang giá trị Những gói tin làm cho hệ thống nạn nhân unload tất liệu đệm TCP gửi gói tin ACK trở thực xong điều này, trình diễn liên tục với nhiều Agent, hệ thống xử lý lượng lớn gói tin gửi đến bị treo  Tấn cơng gói tin độc hại (Malformed Packet Attack)(18) Tấn cơng gói tin độc hại cách công dùng Agent để gửi gói tin có cấu trúc khơng chuẩn nhằm làm cho hệ thống nạn nhân bị treo Có hai loại cơng gói tin độc hại: + Tấn cơng địa IP (IP address attack): dùng gói tin có địa gửi nhận giống làm cho hệ điều hành nạn nhân không xử lý bị treo Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 21 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an + Tấn cơng phần lựa chọn gói tin IP (IP packet option attack): ngẫu nhiên hóa vùng OPTION gói tin IP thiết lập tất bit QoS lên 1, điều làm cho hệ thống nạn nhân phải tốn thời gian phân tích Nếu sử dụng số lượng lớn Agent làm hệ thống nạn nhân hết khả xử lý 2.1.5 Một số đặc tính cơng cụ cơng DDoS Hình 2.8 Công cụ công DDoS Các công cụ công DDoS có nhiều điểm chung như: cách cài phần mềm Agent, phương pháp giao tiếp Hacker, handler Agent, điểm chung loại hệ điều hành hỗ trợ công cụ Sơ đồ mô tả so sánh tương quan công cụ công DDoS a) Cách thức cài đặt DDoS Agent [18] Hacker dùng phương pháp active passive để cài đặt phần mềm agent lên máy khác nhằm thiết lập mạng công kiểu Agent-Handler hay IRC-based  Cách cài đặt Active + Quét (Scanning): dùng cơng cụ Nmap, Nessus để tìm sơ hở hệ thống hoạt động nhằm cài đặt phần mềm Agent Chú ý, Nmap trả thông tin hệ thống định địa IP Nessus tìm kiếm từ địa IP điểm yếu biết trước Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 22 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an + Cửa hậu (Backdoor): Sau tìm thấy danh sách hệ thống lợi dụng, Hacker tiến hành xâm nhập cài phần mềm Agent lên hệ thống Có nhiều thơng tin sẵn có cách thức xâm nhập mạng, trang web tổ chức Common Vulnerabilities and Exposures (CVE) Trang liệt kê phân loại 4.000 loại lỗi tất hệ thống có Thơng tin sẵn sàng cho giới quản trị mạng lẫn hacker + Trojan: chương trình thực chức thơng thường đó, lại có số chức tiềm ẩn phục vụ cho mục đích riêng người viết mà người dùng biết Có thể dùng trojan phần mềm Agent + Tràn đệm: Tận dụng lỗi tràn đệm, Hacker làm cho chu trình thực thi chương trình thơng thường bị chuyển sang chu trình thực thi chương trình hacker (nằm vùng liệu ghi đè) Có thể dùng cách để cơng vào chương trình có điểm yếu gây tràn đệm để chạy chương trình phần mềm Agent  Cách cài đặt bị động + Bug Website: Hacker lợi dụng số lỗi trình duyệt web để cài phần mềm Agent vào máy user truy cập Hacker tạo website mang nội dung tiềm ẩn code lệnh để đặt bẫy người dùng Khi người dùng truy cập nội dung website, website tải cài đặt phần mềm Agent cách bí mật Trình duyệt web IE thường mục tiêu cách cài đặt này, với lỗi ActiveX cho phép trình duyệt web IE tự động tải cài đặt mã thực thi máy user duyệt web + Lỗ file: Một phương pháp khác nhúng mã thực thi vào file thông thường Khi người dùng đọc hay thực thi file này, máy họ bị nhiễm phần mềm Agent Một kỹ thuật phổ biến đặt tên file dài, ngầm định hệ điều hành hiển thị phần đầu tên file nên Hacker gửi kèm theo email cho nạn nhân file sau: Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 23 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe Do thấy phần “Iloveyou.txt” hiển thị nên người dùng mở file để đọc file thực thi phần mềm Agent cài vào máy nạn nhân Ngồi cịn nhiều cách khác ngụy trang file, ghép file… - Rootkit: Là chương trình dùng để xóa dấu vết diện Agent hay Handler máy nạn nhân Rootkit thường dùng phần mềm Hander cài, đóng vai trị xung yếu cho hoạt động mạng công hay môi trường mà khả bị phát Handler cao Rootkit dùng Agent mức độ quan trọng Agent khơng cao có số Agent không ảnh hưởng nhiều đến mạng công b) Giao tiếp mạng công - Giao thức: Giao tiếp mạng cơng thực giao thức TCP, UDP, ICMP - Mã hóa giao tiếp: vài cơng cụ DDoS hỗ trợ mã hóa giao tiếp tồn mạng công Tùy theo giao thức sử dụng để giao tiếp có phương pháp mã hóa thích hợp Nếu mạng cơng dạng IRC-based kênh riêng kênh bảo mật hỗ trợ mã hóa giao tiếp - Cách kích hoạt Agent: Có hai phương pháp chủ yếu để kích hoạt Agent Cách thứ Agent thường xuyên quét thăm dó Handler hay kênh IRC để nhận thị Cách thứ hai Agent đơn giản “nằm vùng” chờ thị từ Handler hay kênh IRC c) Các tảng hỗ trợ Agent: Các công cụ DDoS thông thường thiết kế hoạt động tương thích với nhiều hệ điều hành khác như: Unix, Linux, Solaris hay Windows Các thành phần mạng cơng vận hành môi trường hệ điều hành khác Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 24 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Thông thường Handler vận hành hệ điều hành chạy server lớn Unix, Linux hay Solaris Agent thông thường chạy hệ điều hành phổ biến Windows cần số lượng lớn dễ khai thác d) Các chức công cụ DDoS Mỗi công cụ DDoS có tập lệnh riêng, tập lệnh Handler Agent thực Tuy nhiên ta phân loại tổng quát tập lệnh chung công cụ sau:  Bảng 2.1 Tập lệnh Handler TẬP LỆNH CỦA HANDLER Lệnh Mô tả Log On Dùng để logon vào Handler software (user + password) Turn On Kích hoạt Handler sẵn sàng nhận lệnh Log Off Dùng để Logoff khỏi Handler software Turn Off Chỉ dẫn Handler ngưng hoạt động, Handler quét tìm Agent dừng hành vi Ra lệnh cho Handler hướng dẫn Agent trực thuộc Initiate Attack công mục tiêu định List Agents Yên cầu Handler liệt kê Agent trực thuộc Kiss Agents Loại bỏ Agent khỏi hàng ngũ Attack-Network Add victim Thêm mục tiêu để công Download Cập nhật cho Handler software (downloads file.exe Upgrades thực thi) Set Spoofing Kích hoạt thiết lập chế giả mạo địa IP cho Agent Set Attack Time Định thời điểm công cho Agent Set Attack Duration Thiết lập độ dài công vào mục tiêu BufferSize Thiết lập kích thước buffer Agent (nhằm gia tăng sức mạnh cho Agent) Help Hướng dẫn sử dụng chương trình Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 25 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an  Bảng 2.2 Tập lệnh Agent TẬP LỆNH CỦA AGENT Turn On Kích hoạt Agent sẵn sàng nhận lệnh Turn Off Chỉ dẫn Agent ngưng hoạt động, Agent quét tìm Handler/IRC Channel dừng hành vi lại Ra lệnh Agent công mục tiêu định Initiate Hacker Download Cập nhật phần mềm Agent (downloaf file exe thực thi) Upgrades Set Spoofing Thiết lập chế giả mạo địa IP cho Agent hoạt động Attack Thiết lập độ dài cơng vào mục tiêu Set Duration Packet Thiết lập kích thước attack packet Set Size Help Hướng dẫn sử dụng chương trình 2.1.6 Một số cơng cụ cơng DDoS  DoSHTTP Được phát triển Socketsoft.net, DoSHTTP phần mềm cơng dạng DoS dựa máy tính đơn lẻ để đưa làm sập máy chủ website Đây kĩ thuật tương tự SYN flood (tạo nửa kết nối để làm cạn kiệt tài nguyên máy chủ) diễn lớp HTTP (lớp ứng dụng) Để công, tin tặc gửi yêu cầu HTTP đến máy chủ, khơng gửi tồn u cầu, mà gửi phần (và bổ sung nhỏ giọt, để khỏi bị ngắt kết nối) Với hàng trăm kết nối vậy, tin tặc tốn tài nguyên, đủ để làm treo máy chủ, tiếp nhận kết nối từ người dùng hợp lệ Phần mềm DoSHTTP dễ dàng sử dụng có hiệu cao, thường dùng để kiểm tra hệ thống, chạy Windows Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 26 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an DoSHTTP dùng đồng thời nhiều máy trạm khác công vào máy chủ, trường hợp dạng công DDoS DoSHTTP bao gồm xác thực URL, chuyển hướng HTTP, chọn lựa cổng, giám sát hiệu báo cáo nâng cao Giao diện DoSHTTP thể hình 2.9 Hình 2.9 Giao diện hoạt động DoSHTTP báo cáo kết công thử nghiệm DoSHTTP: Hình 2.10 Thơng tin công kiểm tra Webserver Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 27 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an  UDP Unicorn UDP Unicorn công cụ mã nguồn mở mơ tả cho q trình DoS cách gửi liên tục gói tin UDP đến mục tiêu, làm tràn băng thông mục tiêu khiến khơng nhận kết nối người dùng bình thường Cơng cụ sử dụng Winsock (Windows Sockets – đặc điểm kỹ thuật định nghĩa cách thức phần mềm Windows truy cập vào dịch vụ mạng, đặc biệt TCP/IP) để tạo socket gửi gói tin UDP Tính UDP Unicorn: - Sử dụng đa luồng để đồng thời gửi gói tin UDP - ICMP send receive - Quét cổng mở - Nhắm vào mục tiêu với cổng ngẫu nhiên tùy chọn sử dụng gói tin với kích thước ngẫu nhiên Bằng cách cơng dạng UDP Unicorn tránh cách phát dạng cơng UDP thơng qua thống kê dạng gói tin kích thước gói tin thơng thường Hình 2.11 Giao diện tham số dùng để cơng UDP Unicorn Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 28 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Trên giao diện hình 2.11 có ba tham số quan trọng mà cần ý là: - Target: mục tiêu cơng, tên miền địac IP mục tiêu công - Port: cổng mà gửi gói tin tới, hình 2.12 liệt kê cổng hỗ trợ UDP Unicorn Hình 2.12 Các cổng cơng hỗ trợ UDP Unicorn - Packet size: kích thước gói tin, tham số quan trọng liên quan đến việc xử lý gói tin bên phía bị cơng, để tránh việc thống kê kích thước gói tin giống phần mềm Anti DoS/DdoS chọn vào mục kích thước gói tin ngẫu nhiên Mức độ làm cạn kiệt tài nguyên hệ thống bên bị công UDP Unicorn nhanh tốc độ quét gửi gói tin tới cổng mở hệ thống bị công Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 29 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 2.2 Tác động nghiêm trọng mức độ ảnh hưởng công DDoS nước giới 2.2.1 Đối với nước Theo báo cáo tình hình bảo mật tháng 6/2015 CMC InfoSec gần nhất, nước có 41.044 địa IP thuộc quản lý Việt Nam nhiễm mã độc tham gia mạng Botnet, sau sàng lọc cảnh báo tới đầu mối 76 địa IP thuộc quan nhà nước Đa số địa IP bị nhiễm lại từ lần cảnh báo trước Số lượng cảnh báo thực 01 tuần 01 lần, nhiên nhiều đơn vị nhận không xử lý xử lý không triệt để dẫn đến nguyên nhân bị cảnh báo lại nhiều lần Các mã độc nằm mạng Botnet ghi nhận chủ yếu Downadup Sality Những mã độc ghi nhận từ lâu phần mềm Antivirus cập nhật mẫu nhận dạng gỡ bỏ, nhiên chưa xử lý triệt để Trước đó, thời gian từ ngày 20 đến 26/06 VNCERT tiếp nhận 54 trường hợp cố Phishing, sau kiểm tra xác thực có 34 trường hợp tồn cố VNCERT nhanh chóng gửi 33 yêu cầu điều phối cho đơn vị liên quan Viettel, ODS, FPT, Quang Trung Soft để phối hợp với quản trị viên website xử lý khắc phục 29 trường hợp Liên quan đến tiếp nhận cố lừa đảo website có trường hợp ngân hàng tổ chức tài ([1]), điều nói lên tình trạng nghiêm nguy công DDoS nước ta cao Quay lại thời gian trước đây, có số vụ hacker công sau: - Ngày 1/2/2012 website Bkav.com.vn bị công DDoS để lại đường dẫn chứng minh việc upload thành cơng liệu vào máy chủ trang web lời bình luận ngắn gọn “chỉ đủ” Theo nhận định từ chuyên gia lĩnh vực bảo mật web, hacker “thừa sức” leo thang đặc quyền Nếu muốn, hậu trở nên nghiêm trọng nhiều - Forum BKAV bị cơng ngày lễ Tình u 14/2/2012 Sáng ngày 14/2, diễn đàn Bkav (forum.bkav.com.vn) bị công DDoS khiến người Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 30 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an dùng truy cập lên thông báo “the page cannot be displayed” Ngay sau tượng website www.bkav.com.vn khó truy cập, trang chủ http://www.anonymousvn.blogspot.com, nhóm Anonymous đưa thơng tin xác nhận việc công thâm nhập thành công vào server Bkav Điều đồng nghĩa với việc, nhóm hacker tạo thay đổi hệ thống máy chủ Bkav Nhiều người lo xa cịn cho rằng, Anonymous chèn mã độc vào phần mềm diệt virus cơng ty - Đầu tháng 7/2012, trang web Trung tâm Đào tạo lập trình viên Aprotrain Aptech bị công DDoS khiến người dùng không vào trang web Bộ phận kỹ thuật kiểm tra hồ sơ (file) nhật ký thấy số lượng kết nối vào máy chủ tăng bất thường (chỉ thời gian ngắn, số kết nối tăng thêm 2.000 lượt), hiệu sử dụng Ram, CPU 90% - Chiều 8/7/2013, báo điện tử Dân trí đưa thơng báo việc trang báo bị công từ chối dịch vụ (DDoS) với quy mơ lớn chưa có Việt Nam suốt tuần vừa qua Đợt công chủ yếu nhằm vào website có hệ thống máy chủ đặt Trung tâm Điện toán - Truyền số liệu KV (VDC2) ảnh hưởng đến nhiều báo điện tử lớn Dân trí, Vietnamnet, Tuổi Trẻ… Cho đến chiều ngày 9/7, truy cập vào báo điện tử Dantri, người dùng gặp thông báo “không thể truy cập” - Website báo Tuổi Trẻ bị công DDoS Ngày 11/7/2013, báo Tuổi Trẻ phát thông báo cho biết phiên điện tử bị cơng DDoS liên tục từ phía hacker, theo phiên bản: Tuổi Trẻ Online (tuoitre.vn), Tuổi Trẻ Mobile (m.tuoitre.vn), Tuổi Trẻ Online tiếng Anh (tuoitrenews.vn) khó truy cập Theo đại diện báo Tuổi Trẻ, kẻ cơng sử dụng hình thức cơng DDoS tạo hàng chục triệu lượt truy cập ảo đến phiên tờ báo Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 31 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an này, gây tình trạng nghẽn mạng nghiêm trọng Hiện đội ngũ kỹ thuật báo Tuổi Trẻ cố gắng khắc phục nhiều giải pháp kỹ thuật nhằm chống lại đợt công Cùng với biện pháp kỹ thuật khắc phục, phía báo Tuổi Trẻ tiến hành làm việc với quan chức năng, hãng bảo mật ngồi nước nhằm nhanh chóng khơi phục hoạt động địa web phiên báo Tuổi Trẻ 2.2.2 Trên giới Kể từ mùa hè năm 1999, có nhiều cơng DDoS diễn tồn giới Ví dụ, vào tháng 2/2000, Yahoo trải qua công DDoS ngập lụt lớn vòng khoảng mát đảng kể nguồn doanh thu từ quảng cáo Trong tháng 10/2002, số 13 máy chủ gốc cung cấp dịch vụ DNS nhà cung cấp dịch vụ internet bị tạm ngừng khoảng bị công DDoS Một công DDoS lớn ngập lụt xảy vào tháng 2/2004 làm cho trang web SCO Group làm cho người dùng truy cập, công đưa cách sử dụng hệ thống mà trước bị nhiễm virus Mydoom Các virus chứa mã mà hàng ngàn máy tính bị lây nhiễm truy cập vào website SCO thời điểm.([6]) Các mã virus Mydoom tái khởi động vào công vào website tin tức, truyền thông đa phương tiện tài Hàn Quốc vào tháng 7/2009 Vào tháng 12/2010, nhóm hacker tự xưng "Anonymous" thực dàn dựng công DDoS vào tổ chức Mastercard.com, PayPal, Visa.com PostFinance, công làm sập website tổ chức nói Ngày 22/09/2012 website hai ngân hàng lớn Mỹ Bank of America JPMorgan Chase bị đánh sập Các ngân hàng Mỹ phải thiết lập tình trạng báo động cao độ nguy tin tặc, sau trang web hai ngân hàng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 32 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Bank of America JPMorgan Chase bị nghẽn đường truyền không rõ nguyên nhân Ngày 22/08/2012 Anonymous cơng DDoS website phủ Anh Sáng ngày 21/08/2012, thành viên nhóm Anonymous đăng mẩu tweet lên trang Twitter @AnonIRC mình, nói “Hiện tại, truy cập vào trang web Bộ tư pháp Anh đường link "http://www.justice.gov.uk/” Ngày 21/8, nhóm hacker Anonymous tay cơng website phủ Anh Quốc để thể ủng hộ nhà sáng lập trang web WikiLeaks – Julian Assange – người phủ Ecuador cho phép trú đại sứ quán nước đặt London, Anh Nhóm Anonymous vốn tiếng với việc sử dụng phương án công từ chối dịch vụ DDoS nhằm thể quan điểm trị mình, cho công trang web Bộ tư pháp Vương quốc Anh, với trang Number 10 Văn phòng thủ tướng Anh Những báo cáo khác cho thấy trang web Bộ lao động Lương hưu Anh nạn nhân nhóm hacker Ngày 18/09/2012 Anonymous công kho tài liệu mật Campuchia Đầu tháng 9, đồng sáng lập trang chia sẻ liệu trực tuyến Thụy Điển "The Pirate Bay"- Gottfrid Svartholm bị bắt giữ bị trục xuất khỏi Campuchia Để trả đũa động thái Chính phủ Campuchia, nhóm hacker khét tiếng Anonymous cơng website phủ quốc gia đăng tải công khai lên Internet 5.000 tài liệu mật nhạy cảm Cụ thể, tin tặc công website Bộ Ngoại giao Campuchia Cơ quan hợp tác quốc tế; đặc biệt nghiêm trọng tài liệu bị rị rỉ khơng nằm giới hạn Campuchia mà cịn có liên quan tới nhiều quốc gia khác Nepal, Ấn Độ, Pakistan Theo thống kê trang The Next Web, có tất 5.234 tài liệu bị rò rỉ, lưu trữ vào hai tệp nén trang lưu trữ liệu Deposit Files, có dung lượng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 33 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 161 MB 230 MB Những tài liệu viết Tiếng Anh, Hindu, Khmer tiếng Nga - Ngày 11/04/2013, Website Bộ Tư pháp Đức bị tin tặc công DDoS Ngày 11/4, trang tin AP dẫn lời Bộ Tư pháp Đức cho hay website sập bị tin tặc công từ chối dịch vụ (DDoS) - Cuộc công DDoS lớn lịch sử Internet Ngày 27/03/2013 tổ chức Spamhaus vốn chịu trách nhiệm trì danh sách blacklist máy chủ gửi thư spam toàn cầu, phải hứng chịu công DDoS với lưu lượng lớn lịch sử Internet, lưu lượng đạt đỉnh 300 Gbps Trong tổng lưu lượng internet Việt Nam khoảng 361 Gbps, công nhắm vào hạ tầng Internet Việt Nam Việt Nam nhanh chóng bị bão hồ đường truyền sớm bị cách ly hoàn toàn với Internet giới - Trong Quý 2016, Các công DDos tập trung chủ yếu 70 quốc gia, Trung Quốc có tỉ lệ bị công chiếm đến 77.4% Các báo cáo cho thấy 97.3% công DDos tập trung 10 quốc gia – đứng đầu danh sách Trung Quốc, Nam Hàn Hoa Kỳ Tấn công DDos phân chia theo địa lý Quý 2016 - Việt Nam qua mặt Nga quý 2016 đứng vị trí thứ TOP quốc gia bị công nhiều Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 34 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an - Tấn công DDos phân chia theo phương pháp thời gian công - Theo số liệu thống kê, phương pháp cơng DDos khơng có thay đổi so với q trước, theo đó, SYN DDos phương pháp đứng đầu danh sách tăng từ 54.9% lên 76% Phân loại công DDos theo phương pháp công - Trong số tất cơng có đến 70.2% từ Linux botnet, lý Linux bots cơng cụ thích hợp cho việc sử dụng phương pháp công SYN-Ddos Sự tương quan công DDos xuất phát từ Linux Windows - Các cơng có thời lượng tiếng chiếm vị trí phổ biến có giảm so với quý trước ( 67.8% Quý so với 59.8% Quý ) Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 35 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Trong Các cơng DDos có thời lượng dài tăng đáng kể – Tấn cơng có thời lượng kéo dài từ 20-49 chiếm 8.6% ( so với 3.9 % q ) , cơng có thời lượng 50-99 chiếm 4% ( so với 0.8% so với quý trước ) - Tấn công DDos dài quý 2016 kéo dài 291 so với quý 197 Sơ đồ biểu thị công DDos theo thời lượng Số lượng công qua mốc thời gian Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 36 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Số lượng công DDos từ Q1 đến Q2 2016 Tấn công DDos phân bố theo ngày tuần Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 37 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an - C&C Server loại botnet C&C server botnet phân chia theo quốc gia - Như quý trước, 99.5% mục tiêu bị công DDos Quý 2016 bot có họ Các tin tặc phát tán bot từ họ khác ( sử dụng hay nhiều bot master ) chiếm 0.5% Các họ bot phổ biến quý Xor, Yoyo Nitol - Trong quý 2016, tin tặc ý vào tổ chức tài tiền điện tử ( bitcoin ) Rất nhiều trang tổ chức mục tiêu công Ddos - Trong ba tháng đầu năm 2017, VNCERT ghi nhận gần 7.700 cố công mạng vào website Việt Nam loại công mạng phổ biến năm 2017 - Theo chuyên gia an ninh mạng, hình thức cơng có chủ đích (APT), mã độc gián điệp, mạng botnet, DDoS, deface, phising ngày tinh vi diễn biến phức tạp Nhiều cơng có chủ đích (APT) nhằm vào quan phủ, hệ thống tài chính, ngân hàng, hạ tầng thơng tin trọng yếu, website quan, tổ chức,doanh nghiệp Việt Nam - Xu công DDos lợi dụng lỗ hổng từ thiết bị IoT ( internet of things – thiết bị thơng minh có kết nối internet ) để biến Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 38 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an chúng thành botnet Rất cuối năm phải đối đầu với công DDos nguy hiểm xuất phát từ việc khai thác lỗ hổng thiết bị thông minh kết nối internet - Các công DDoS thông thường giới gần đạt khoảng 50 Gbps đủ làm tê liệt sở hạ tầng tổ chức bị nhắm tới Rất may Spamhaus chống lưng nhiều tập đoàn công nghệ lớn giới Google, Microsoft, Yahoo, Amazon, Do đó, hãng chia sẻ tài nguyên khổng lồ họ nhằm giúp hấp thụ lưu lượng khổng lồ Nguyên nhân dẫn đến công từ tranh cãi tổ chức Spamhaus công ty dịch vụ hosting Đức tên Cyberbunker tổ chức Spamhaus liệt kê máy chủ công ty vào danh sách Blacklist Danh sách giúp nhà cung cấp dịch vụ mail toàn cầu chặn đứng spam mail đến từ cơng ty Cyberbunker Cuộc tranh cãi nhanh chóng kéo theo thành lời đe doạ công Công ty nêu kết hợp với nhiều tổ chức tin tặc Châu Âu để điều hướng lượng khổng lồ gồm nhiều mạng máy tính ma (botnets) với nhiều triệu máy tính bị thâm nhập trước đó, tập trung công máy chủ DNS Spamhaus Điều đáng ngại công tạo nên kỷ lục lưu lượng cơng Nó đánh dấu thời kỳ khó khăn tới Internet phủ trở nên bất lực trước tổ chức tin tặc 2.3 Kết luận chương Trong Chương hai tác giả đưa nhìn tổng quan cơng DDoS: Giới thiệu DDOS, ba giai đoạn công DDoS, kiến trúc tổng quan mạng công với 02 mơ hình mơ hình Agent – Handler mơ hình IRC – Based, phân loại kiểu cơng số đặc tính cơng cụ công DDoS; Đánh giá mức độ ảnh hưởng tác động nghiêm trọng công DDoS nước giới Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 39 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an CHƯƠNG MỘT SỐ GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TẤN CÔNG DẠNG DoS/DDoS ÁP DỤNG TẠI TRƯỜNG ĐẠI HỌC VINH Bảo vệ dịch vụ ứng dụng mạng Internet trước nguy công dạng DoS/DDoS lĩnh vực nghiên cứu mở Các kỹ thuật có thường cố gắng làm giảm bớt cơng cách lọc luồng gói tin từ ngồi mạng vào loại bỏ gói tin đáng ngờ Sau số phương pháp phát chống lại dạng công DoS/DDoS 3.1 Hiện trạng website hệ thống máy chủ Trường Đại học Vinh Website lấy tên miền Vinhuni.edu.vn (địa IP 220.231.122.100) đặt máy chủ nhà trường Website thiết kế theo hướng mở, cho phép nâng cấp cập nhật thêm tính 3.2 Phương pháp chống lại DoS/DDoS 3.3.1 Dò ngược dấu vết IP Phương pháp dò ngược IP cung cấp cho người quản trị mạng bị cơng xác định địa nguồn thực gói tin cơng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 40 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an DoS Dò ngược địa IP giải pháp sống cho việc đem chức mạng trở lại bình thường nhanh đưa đối tượng cơng ánh sáng Về nguyên tắc, tham gia vào mạng đối tượng công phải định danh địa nguồn gói tin gói tin phần header IP có địa nguồn dùng để định danh địa trạm gửi (gốc hay nguồn ban đầu) Tuy nhiên thiếu sót đặc tả tính an tồn TCP/IP cho phép làm giả địa IP nguồn header Hạ tầng định tuyến mạng Internet dạng không trạng thái, dựa vào địa đích để định tuyến gói tin tời đích mà khơng có thực thể chịu trách nhiệm kiểm duyệt tính xác địa nguồn Vì vậy, đối tượng cơng tạo địa IP gói tin đến từ đâu Phương pháp dò ngược địa IP bước dẫn đến việc tìm địa thực đối tượng công Các phương pháp dò ngược địa IP thường hai dạng phản ứng lại chủ động Dạng phản ứng lại thường thực có tiến trình cơng dạng DoS/DDoS khơng thực q trình cơng dừng Hầu hết phương pháp dò ngược IP phản ứng lại yêu cầu hợp tác ISP dẫn đến vấn đề khó khăn, phức tạp pháp lý khơng hiệu việc phân tích sau tiến trình cơng kết thúc Ngược lại, phương pháp dị ngược IP chủ động xác định vết thông tin gói định tuyến thơng qua mạng Từ gói tin nhận xây dựng lại chuỗi thơng tin đến nguồn Các điều kiện đảm bảo cho việc dị ngược địa IP thành cơng bao gồm: - Tương thích với giao thưc mạng - Khơng giới hạn lưu lượng định tuyến - Tương thích với hạ tầng mạng thiết bị định tuyến có Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 41 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an - Có hiệu chống lại cơng DDoS - Tối thiểu hóa lưu lượng định tuyến mặt thời gian tài nguyên Không yêu cầu hợp tác với ISP thành cơng khơng phụ thuộc vào lúc cơng kết thúc Các dạng dị ngược IP thường dạng sau: - Kiểm tra liên kết - Dựa ICMP - Đánh dấu gói tin 3.3.1.1 Kiểm tra liên kết Phương pháp kiểm tra liên kết hoạt động dựa kiểm tra đường liên kết routers xác định luồng gốc từ đối tượng công Hầu hết kỹ thuật router gần với trạm bị công tương tác với đường liên kết vào xác định đường chứa luồng cơng Tiến trình lặp lặp lại routers tới luồng “nguồn”, hình 3.1 minh họa kỹ thuật Kiểm tra liên kết kỹ thuật phản ứng lại yêu cầu công phải trì q trình dị kết thúc Hình 3.1 Kỹ thuật kiểm tra liên kết Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 42 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 3.3.1.2 Dựa giao thức ICMP Tháng năm 2000, IETF (Internet Engineering Task Force) thành lập nhóm làm việc phát triển vệt thơng báo ngược ICMP dựa phương pháp gọi iTrace(21) Phương pháp sử dụng thông báo ICMP ngược routers, thông báo gửi đến trạm nhận thông tin bổ sung luồng thông thường Các thơng báo phần thơng tin đường gói tin bao gồm: thơng tin gói tin đến từ đâu, gửi thời điểm xác thực gói tin Hình 3.2 Dị ngược dựa ICMP Router tạo gói ICMP cho 20,000 gói chuyển qua tới đích Gói ICMP tạo sau chuyển tiếp tới quản trị mạng đích ghép lại thành tin chung dùng để dò ngược lại nguồn (gốc) phát gói tin Hình minh họa ngun tắc hoạt động 3.3.1.3 Đánh dấu gói tin Phương pháp đánh dấu gói tin [22] thực cách chèn liệu dị ngược vào gói IP dị cách đánh dấu đường qua routers khác đến trạm đích Từ cách đánh dấu gói tin riêng lẻ suy luận đường luồng nhận Cách đơn giản thực đánh dấu gói tin sử dụng lựa chọn ghi định tuyến (RFC 791) lưu trữ địa router trường IP header [20] Tuy nhiên phương pháp làm tăng độ dài gói tin node chuyển tiếp điều Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 43 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an dẫn đến bổ sung thêm phân đoạn gói tin Hình 3.3 minh họa q trình đánh dấu gói tin Hình 3.3 Đánh dấu gói tin 3.3.2 Lọc luồng vào Lọc luồng vào kỹ thuật lọc gói tin sử dụng nhà cung cấp dịch vụ internet nhằm ngăn chặn giả mạo nguồn luồng internet từ đấu tranh gián tiếp với dạng lợi dụng khác mạng cách hỗ trợ dò ngược tới nguồn gói tin Internet Lọc luồng vào sách hợp tác tốt nhà cung cấp dịch vụ internet Lọc luồng vào cấu hình routers biên vùng độc lập đảm bảo chắn gói tin định tuyến địa nguồn hợp lệ Những gói tin với địa nguồn giả mạo không thuộc địa mạng bị loại bỏ Tuy nhiên hiệu phụ thuộc vào việc triển khai điểm truy nhập nhà cung cấp dịch vụ internet Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 44 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hình 3.4 Lọc luồng vào Hình 3.4 cho thấy đối tượng công từ mạng 204.69.207.0/24 nối nhà cung cấp dịch vụ internet D Một lọc luồng vào liên kết vào router 2, thiết bị cung cấp kết nối tới mạng đối tượng công giới hạn cho phép luồng có địa nguồn nằm mạng 204.69.207.0/24 ngăn chặn đối tượng công sử dụng địa nguồn không hợp lệ nằm địa mạng Như router cấu hình sách cho định tuyến sau: Nếu gói tin có địa nguồn nằm mạng 204.69.207.0 mask 255.255.255.0 chuyển tiếp qua giao diện tương ứng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 45 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Ngược lại (các gói tin có địa nguồn không thuộc mạng trên) bị cấm vào Quản trị mạng ghi lại thông tin gói bị bỏ vào file log, thơng tin dùng cho giám sát mạng hàng loạt hoạt động khác 3.4 Một số kết thử nghiệm 3.4.1 Chống công dạng DDoS với Webserver Máy chủ dùng để cài đặt thử nghiệm có cấu hình chíp Core i5 bốn nhân rời, tốc độ nhân 2.8GHz, RAM GHz, ổ cứng 500GHz Hệ điều hành Window server 2012 cài đặt dịch vụ AD, DNS IIS với nội dung site trường đại học Vinh Trên máy chủ cài đặt phần mềm WireShark để giám sát q trình cơng phân tích gói tin cấu hình danh sách điều khiển truy nhập chống lại dạng công dạng DDOS Dùng máy clients chạy phần mềm doshttp để công vào máy chủ dạng DDOS # Máy client (tấn công) Hình 3.5 Tấn cơng DoSHTTP máy trạm Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 46 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an # Máy Server lúc bị cơng: Hình 3.6 Lưu lượng gói Ethernet máy chủ sau 60s Hình 3.7 Các gói ethernet máy chủ chụp WireShark Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 47 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hình 3.8 Phản hồi yêu cầu từ máy chủ Hình 3.9 Tình trạng máy chủ sau chưa đầy phút bị công Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 48 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an # Thiết lập điều khiển truy nhập chống cơng DDoS WireShark: Hình 3.10 Danh sách điều khiển truy nhập Hình 3.11 Trao đổi gói tin sau thiết lập điều khiển truy nhập 3.4.2 Chống công dạng UDP flood Tấn công UDP Flood dạng công từ chối dịch vụ (DoS) công cách sử dụng User Datagram Protocol (UDP), giao thức không hướng kết nối mạng máy tính Tấn cơng dạng UDP flood nguy hiểm Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 49 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an so với dạng dùng Transmission Control Protocol (TCP) Một công UDP Flood bắt đầu cách gửi số lượng lớn gói tin UDP tới cổng ngẫu nhiên máy chủ từ xa Kết là, máy chủ xa kiểm tra ứng dụng cổng khơng có ứng dụng nghe cổng nên trả lời với gói ICMP Destination Unreachable Như vậy, với số lượng lớn gói tin UDP, hệ thống bị cơng trao đổi nhiều gói tin ICMP dẫn đến truy cập người sử dụng khác Các đối tượng cơng giả mạo địa IP nguồn gói tin UDP dẫn đến gói ICMP trả lời khơng đến đích Muốn hạn chế cơng dạng phía bị công phải hạn chế tốc độ tao ICMP trả lời Trong cài đặt thử nghiệm dùng phần mềm UDP Unicorn làm công cụ công bên client dùng phần mềm WireShark để phân tích gói tin Server phần mềm Anti DDoS Guardian để chống lại công dạng # Máy client (tấn cơng) Hình 3.12 Cấu hình cơng tới máy chủ Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 50 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an # Máy chủ: Hình 3.13 Bộ nhớ máy chủ sau 60s bị cơng Hình 3.14 Lọc gói tin UDP cổng Ethernet máy chủ Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 51 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Máy chủ bị tê liệt sau chưa đầy phút cơng từ clients Để phịng chống dạng công cài đặt cấu hình máy chủ phần mềm Anti DDoS Guardian kích hoạt chế độ bảo vệ phần mềm hình 3.15 Hình 3.15 Kích hoạt tính loại bỏ DDOS máy chủ Hình 3.16 Kết loại bỏ DDOS máy chủ Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 52 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Bằng cách hạn chế sản sinh ICMP trả lời loại bỏ UDP khả nghi máy chủ hoạt động bình thường sau cài đặt cấu hình phần mềm Anti DDoS Guardian trước công clients 3.5 Kết luận chương Hiện nay, giới nói chung Việt Nam nói riêng việc có mơ hình phịng chống cơng DDoS thực phổ biến cho nhiều quan, doanh nghiệp áp dụng dấu hỏi lớn Với trình độ kỹ thuật tin tặc nay, thêm vào hạ tầng mạng phát triển mạnh mẽ, nhiều quan, tổ chức chưa quan tâm đến vấn đề đảm bảo an tồn cho hệ thống thơng tin, ý thức cộng đồng việc chia sẻ tài nguyên chưa cao, nhận thức đại đa số người dùng việc ngăn chặn sử dụng biện pháp kỹ thuật để hạn chế lây nhiễm virus, lây lan botnet chưa tốt Vì vậy, thực trạng cơng DDoS nhức nhối Để phịng chống dạng công DoS/DDoS cách hiệu cần người quản trị hệ thống có kiến thức sâu rộng liên quan đến kỹ thuật công dạng Với mục đích tìm hiểu ngun lý, cách thức dạng công DoS/DDoS phổ biến nhằm áp dụng vào công việc phụ trách quan công tác, tác giả xây dựng nội dung chương ba bao gồm phần tìm hiểu phương pháp phịng chống công dạng DoS/DDoS thực cài đặt thử nghiệm số công cụ thử nghiệm Kết đạt cho thấy tác giả hướng triển khai hệ thống thực quan đơn vị Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 53 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an KẾT LUẬN Hiện với phát triển bùng nổ mạng Internet các dịch vụ triển khai đó, vấn đề an ninh an tồn ổn định hệ thống mạng quan, đơn vị công sở hay công ty đặt lên hàng đầu Một dạng công mạng giới tội phạm công nghệ cao thường sử dụng để công mạng kỹ thuật công dạng DoS/DDoS Bời phương pháp cơng đơn giản hậu để lại thường nghiêm trọng Trong phạm vi luận văn sâu tìm hiểu ngun lý kỹ thuật cơng phương pháp giải pháp nhằm phát chống lại công dạng Dựa số điều kiện trạng thực tế mạng quan, áp dụng giải pháp nhằm phát hạn chế công dạng DoS/DDoS hệ thống Tuy nhiên, nhận thức để giải tốt vấn đề này, cần chung tay vào nhiều cá nhân, tổ chức, quốc gia giới chung sức, chung lịng viễn cảnh giảm thiểu tác hại công DDoS sáng sủa Đối với chuyên gia an tồn thơng tin, cá nhân phụ trách thơng tin khơng cịn cách khác phải phối hợp, hợp tác với nhiều cá nhân, tổ chức khác việc nghiên cứu, đề xuất giải pháp đảm bảo an tồn cho hệ thống thơng tin quản lý thực phù hợp kiến trúc, kỹ thuật, chế quản lý, quản trị, vận hành đặc biệt vấn đề tài Cần xây dựng mạng lưới sâu rộng để phịng chống cơng DDoS Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 54 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an TÀI LIỆU THAM KHẢO [1] Houle, Weaver Trends in Denial of Service Attack Technology s.l : Carnegie Mellon University, 2001 [2] Howard An Analysis of security incidents on the Internet 1989 – 1995 s.l : Carnegie Mellon University, 19997 [3] Mirkovic J., Martin J and Reiher P A Taxonomy of DDoS Attacks and DDoS s.l : UCLA Computer Science Department, 2002 [4] Tao Peng, C Leckie, and K Ramamohanarao Protection from distributed denial of service attacks using history-based ip filtering s.l : IEEE Explore, 2003 [5] Criscuolo, P.J Distributed Denial of Service Trin00, Tribe Flood Network, Tribe Flood Network 2000, and Stacheldraht CIAC-2319 s.l : Lawrence Livermore National Laboratory, 2000 [6] Harrison, A Cyberassaults hit Buy.com, eBay, CNN, and Amazon com s.l : computerworld, 2000 [7] D Dittrich, G Weaver, S Dietrich, N Long The_mstream_ Distributed Denial of Service attack tool s.l : http://staff.washington.edu/dittrich/misc.mstream.analysis.txt, 2000 [8] Backdoor:W32/SdBot s.l : http://www.f-secure.com/v-descs/sdbot.shtml [9] Backdoor:W32/Agobot s.l : http://www.f-secure.com/vdescs/agobot.shtml [10] Phatbot backdoor s.l : http://www.iss.net/security_center/reference/vuln/phatbot-backdoor.htm [11] Senie, P Ferguson and D Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing s.l : http://www.ietf.org/rfc/rfc2827.txt [12] al., S Savage et Network Support for IP Traceback s.l : IEEE/ACM Trans Networking, 2001 Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 55 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn